Crea y asigna niveles de acceso personalizados con datos de Microsoft Intune

En este documento, se muestra cómo crear niveles de acceso personalizados basados en dispositivos mediante datos de Intune y asignar esos niveles de acceso a tus recursos organizativos.

Antes de comenzar

Configura la integración de BeyondCorp Enterprise con Microsoft Intune.
Actualiza a BeyondCorp Enterprise Premium, que es la suscripción pagada de BeyondCorp Enterprise. Para actualizar, comunícate con nuestro equipo de ventas.
Asegúrate de tener una de los siguientes roles de administración de identidades y accesos:
- Administrador de Access Context Manager (roles/accesscontextmanager.policyAdmin)
- Editor de Access Context Manager (roles/accesscontextmanager.policyEditor)
Comprende los objetos y atributos que se usan a fin de compilar las expresiones de Common Expression Language (CEL) para los niveles de acceso personalizados. Para obtener más información, consulta Especificación de nivel de acceso personalizado.

Crear niveles de acceso personalizados

Puedes crear niveles de acceso con una o más condiciones. Si deseas que los dispositivos de los usuarios cumplan con varias condiciones (un operador lógico AND de condiciones), crea un nivel de acceso que contenga todas las condiciones requeridas.

Para crear un nuevo nivel de acceso personalizado con los datos proporcionados por Intune, haz lo siguiente:

Ve a la página Access Context Manager en Google Cloud Console.
Ir a Access Context Manager
Si se te solicita, selecciona tu organización.
En la página Access Context Manager, haz clic en Nuevo.
En el panel Nuevo nivel de acceso, ingresa el siguiente código:
1. En el campo Título del nivel de acceso, ingresa un título para el nivel de acceso. El título debe tener 50 caracteres como máximo, comenzar con una letra y solo puede contener números, letras, guiones bajos y espacios.
2. En la sección Crear condiciones en, selecciona Modo avanzado.
3. En la sección Condiciones, ingresa las expresiones para tu nivel de acceso personalizado. La condición debe resolverse en un solo valor booleano.
  A fin de encontrar los campos de Intune disponibles para tu expresión en CEL, puedes revisar los datos de Intune recopilados para tus dispositivos.
  Ejemplos
  La siguiente expresión CEL crea una regla que permite el acceso solo desde dispositivos administrados por Intune que cumplen con lo siguiente:
```
device.vendors["Intune"].is_managed_device == true && device.vendors["Intune"].data["complianceState"] == "compliant"
```
  La siguiente expresión CEL crea una regla que permite el acceso solo desde los dispositivos que Intune realizó en los últimos tres días. Intune proporciona el campo lastSyncDateTime.
```
request.time - timestamp(device.vendors["Intune"].data["lastSyncDateTime"]) < duration("72h")
      
```
  Nota: BeyondCorp Enterprise puede tardar hasta 60 minutos en extraer actualizaciones de Intune, y Intune se sincronizará solo algunas veces al día si el dispositivo está activo. Por lo tanto, le recomendamos adaptar este programa cuando planifique la duración de la actualización.
  
  Para obtener ejemplos y más información sobre la compatibilidad con Common Expression Language (CEL) y los niveles de acceso personalizados, consulta la especificación del nivel de acceso personalizado.
4. Haz clic en Guardar.

Asignar niveles de acceso personalizados

Puedes asignar niveles de acceso personalizados para controlar el acceso a las aplicaciones. Estas aplicaciones incluyen aplicaciones de Google Workspace y las que están protegidas por Identity-Aware Proxy en Google Cloud (también conocido como recurso protegido con IAP). Puedes asignar uno o más niveles de acceso para las aplicaciones. Si seleccionas varios niveles de acceso, los dispositivos de los usuarios solo deben cumplir las condiciones de uno de los niveles de acceso para que se les otorgue acceso a la app.

Asigna niveles de acceso personalizados para aplicaciones de Google Workspace.

Asigna niveles de acceso para las aplicaciones de Google Workspace desde la Consola del administrador de Google Workspace:

En la página principal de la Consola del administrador, ve a Seguridad > Acceso adaptado al contexto.
Ir a Acceso adaptado al contexto
Haga clic en Asignar niveles de acceso.

Verás una lista de aplicaciones.
En la sección Unidades organizativas, selecciona tu grupo o unidad organizativa.
Selecciona la aplicación a la que deseas asignar un nivel de acceso y haz clic en Asignar.

Verás una lista de todos los niveles de acceso. Los niveles de acceso son un recurso compartido entre Google Workspace, Cloud Identity y Google Cloud, por lo que es posible que veas en la lista los niveles de acceso que no creaste.
Selecciona uno o más niveles de acceso para la app.
A fin de aplicar los niveles de acceso a los usuarios en las apps de escritorio y para dispositivos móviles (y en el navegador), selecciona Apply to Google Desktop and mobile apps. Esta casilla de verificación solo se aplica a las apps integradas.
Haz clic en Guardar. El nombre del nivel de acceso se muestra en la lista de niveles de acceso asignados junto a la app.

Asigna niveles de acceso personalizados para recursos protegidos con IAP

Si deseas asignar niveles de acceso para los recursos protegidos con IAP desde Google Cloud Console, sigue las instrucciones en Aplica un nivel de acceso para los recursos protegidos con IAP.

¿Qué sigue?

Cómo supervisar el inventario de dispositivos